content/nl-nl/images/repository/isc/2021/security-and-privacy-risks-of-ar-and-vr-1.jpg

Wat is 'augmented reality' (AR) en 'virtual reality' (VR)?

'Augmented reality' (AR) en 'virtual reality' (VR) lijken veel op elkaar, maar zijn niet hetzelfde. 'Augmented reality' vult de echte wereld aan door digitale elementen, zoals zichtbare, hoorbare en tastbare elementen, toe te voegen aan de echte wereld. Een van de meest bekende voorbeelden van AR in de afgelopen jaren is het populaire spel Pokémon Go.

Daarentegen wordt er met 'virtual reality' niets aan de echte wereld toegevoegd, maar wordt een eigen cyberomgeving gemaakt. 'Virtual reality' wordt meestal door middel van een interface ervaren, zoals een headset of een bril, in plaats van op een scherm.

'Mixed reality' (MR) lijkt op AR, maar gaat nog een stapje verder door digitale 3D-elementen te plaatsen die zich aan de ruimte aanpassen en interactief zijn. Met MR kunnen gebruikers interactie aangaan met zowel fysieke als virtuele voorwerpen en omgevingen, zoals een virtuele bal die op een echte tafel stuitert.

De overkoepelende term voor VR, AR en MR is 'extended reality' (XR). De wereldwijde markt voor XR-hardware, -software en -services groeit elk jaar. Deze snelle opkomst van deze technologieën brengt echter ook vragen met zich mee wat betreft privacy en beveiliging.

'Augmented reality' en privacy- en beveiligingsproblemen

Zorgen over AR

Een van de grootste gevaren van 'augmented reality' heeft te maken met privacy. De privacy van gebruikers loopt gevaar, omdat AR-technologieën registreren wat de gebruiker doet. AR verzamelt veel informatie over wie de gebruiker is en wat de gebruiker doet. Dit gebeurt op een veel grotere schaal dan bijvoorbeeld bij sociale-medianetwerken of andere soorten technologie. Dit brengt zorgen en vragen met zich mee:

  • Als hackers toegang krijgen tot een apparaat, gaat dit ten koste van een groot deel van je privacy.
  • Hoe beveiligen en gebruiken AR-bedrijven de informatie die ze over hun gebruikers verzamelen?
  • Waar worden 'augmented reality'-gegevens opgeslagen door bedrijven, op het apparaat of in de cloud? Indien de informatie in de cloud wordt opgeslagen, wordt deze dan versleuteld?
  • Delen AR-bedrijven deze gegevens met derden? Zo ja, waarvoor gebruiken zij deze gegevens?

Onbetrouwbare inhoud

AR-browsers maken het AR-proces mogelijk, maar deze inhoud wordt door externe leveranciers en toepassingen gemaakt en geleverd. Hierbij moeten we echter rekening gaan houden met onbetrouwbaarheid, omdat AR een relatief nieuw domein is en de mechanismen voor het maken en overbrengen van geverifieerde content nog veel verandert. Geavanceerde hackers kunnen de AR van een gebruiker vervangen door hun eigen AR, zodat mensen worden verleid of hen ongeldige informatie wordt verstrekt.

Er zijn verschillende cyberaanvallen waarmee de inhoud onbetrouwbaar wordt, zelfs wanneer de bron authentiek is. Het gaat hier onder andere om spoofing, sniffing en gegevensmanipulatie.

Social engineering

Gezien de mogelijkheid tot onbetrouwbare inhoud, kunnen 'augmented reality'-systemen als effectief middel dienen om gebruikers te misleiden als onderdeel van social engineering-aanvallen. Hackers kunnen bijvoorbeeld de waarneming van realiteit van een gebruiker vervormen met behulp van nepaanwijzingen of displays die ertoe leiden dat gebruikers handelingen verrichten in het voordeel van de hackers.

Malware

AR-hackers kunnen via advertenties schadelijke inhoud inbedden in toepassingen. Nietsvermoedende gebruikers klikken dan mogelijk op een advertenties die leiden naar gegijzelde websites of met malware geïnfecteerde AR-services met schadelijke visuele effecten, waardoor de AR-beveiliging wordt ondermijnd.

Netwerkinloggegevens stelen

Criminelen kunnen netwerkinloggegevens stelen via draagbare apparaten die gebruikmaken van Android. Voor verkopers die gebruikmaken van winkelapps met 'augmented reality' en 'virtual reality' kan hacken een cyberdreiging vormen. Veel klanten hebben hun kaartgegevens en mobiele betaaloplossingen registreerd in hun gebruikersprofiel. Hackers kunnen toegang verkrijgen tot deze gegevens en aangezien betalen via mobiele apparaten zo eenvoudig is, kunnen bankrekening moeiteloos worden leeggehaald.

'Denial of service'

'Denial of service' is een andere potentiële AR-beveiligingsaanval. Een voorbeeld hiervan is gebruikers die AR voor hun werk gebruiken die plotseling geen toegang meer hebben tot de informatie die ze nodig hebben. Dit is vooral zorgelijk voor professionals die de technologie gebruiken om taken uit te voeren in kritieke situaties, waarin het ernstige gevolgen kan hebben wanneer de toegang tot informatie wordt geblokkeerd. Een voorbeeld hiervan is een chirurg die ineens geen toegang meer heeft tot actuele informatie via diens AR-bril, of een bestuurder die de weg ineens niet meer kan zien omdat de AR-voorruit in een zwart scherm is veranderd.

'Man-in-the-middle'-aanvallen

Netwerkaanvallers kunnen meeluisteren met communicatie tussen AR-browsers en de AR-provider, AR-kanaaleigenaren en externe servers. Dit kan leiden tot 'man-in-the-middle'-aanvallen.

Ransomware

Hackers kunnen mogelijk toegang krijgen tot het 'augmented reality'-apparaat van een gebruiker en kunnen vervolgens de bewegingen en interacties van de gebruiker in de AR-omgeving vastleggen. Vervolgens kunnen hackers dreigen om deze opnames openbaar te maken, mits de gebruiker losgeld betaald. Dit kan beschamend of ongemakkelijk zijn voor gebruikers die niet willen dat hun AR-interacties openbaar worden gemaakt.

Fysieke schade

Een van de grootste AR-beveiligingskwetsbaarheden van draagbare AR-apparaten, is fysieke schade. Sommige draagbare apparaten zijn steviger dan andere, maar alle apparaten zijn fysiek kwetsbaar. Het is een belangrijk om ervoor te zorgen dat de apparaten functioneel en veilig blijven, bijvoorbeeld door te voorkomen dat iemand een headset meeneemt die eenvoudig kwijt kan raken of kan worden gestolen.

AR security

Gevaren en beveiligingsproblemen van 'virtual reality'

VR-beveiligingsrisico's zijn iets anders dan AR-beveiligingsrisico's, aangezien er bij VR gebruik wordt gemaakt van een gesloten omgeving zonder interactie met de fysieke wereld. Los daarvan wordt het gehele zicht van de gebruiker beïnvloed door VR-headsets, wat een gevaar kan vormen wanneer hackers het apparaat overnemen. Hackers kunnen inhoud bijvoorbeeld manipuleren zodat de gebruiker duizelig of misselijk wordt.

Zorgen op het gebied van VR

Net als bij AR is privacy een groot probleem met VR. Een groot privacyprobleem bij VR is dat de verzamelde gegevens enorm persoonlijk van aard zijn, zoals biometrische gegevens (een iris- of netvliesscan, vingerafdruk- of handscans, gezichtsgeometrie en spraakafdrukken). Voorbeelden:

  • Tracking via handgebaren: In de virtuele wereld gebruiken gebruikers dezelfde handgebaren als in de echte wereld, bijvoorbeeld wanneer ze een code invoeren met een virtueel toetsenbord. Dit betekent echter ook dat deze gebaren door het systeem worden geregistreerd en dat pincodes die door handgebaren worden vastgelegd, worden overgedragen. Als aanvallers deze gegevens in handen krijgt, kunnen zij de pincode van de gebruiker achterhalen.
  • Tracking via ogen: Sommige VR- en AR-headsets maken gebruik van tracking van de ogen. Deze gegevens zijn erg waardevol voor mensen met kwade bedoelingen. Precieze informatie over waar een gebruiker naar kijkt is ook erg waardevolle informatie voor een aanvaller. Deze informatie kan worden vastgelegd om te kopiëren.

Het is vrijwel onmogelijk om VR- en AR-gegevens te anonimiseren, omdat iedereen unieke patronen heeft en bewegingen maakt. Onderzoekers kunnen gebruikers op zeer nauwkeurige wijze identificeren aan de hand van gedrags- en biologische informatie van VR-headsets. Dit vormt een groot probleem wanneer VR-systemen worden gehackt.

IP-addressen en stemafdrukken afkomstig van VR- en AR-systemen moeten net als postcodes worden beschouwd als potentiële persoonsgegevens. Deze gegevens kunnen als persoonsgegevens worden beschouwd, omdat anderen deze gegevens kunnen gebruiken om de identiteit van een persoon te onderscheiden en te volgen, zowel afzonderlijk als in combinatie met andere persoonsgegevens. Dit zorgt voor risico's wat betreft VR-privacy.

Ransomware

Daarnaast kunnen aanvallers functies aan VR-platforms toevoegen, waarmee gebruikers worden misleid om persoonlijke gegevens te verstrekken. Dit zorgt net als bij AR voor mogelijkheden tot ransomwareaanvallen, waarbij kwaadwillenden platforms saboteren en een geldbedrag eisen.

Nepidentiteiten of 'deepfakes'

Met machine learning-technologieën kunnen stemmen en video's zo goed worden nagebootst, dat het lijkt alsof het om authentieke beelden gaan. Als hackers via een VR-headset toegang krijgen tot de gegevens waarin je bewegingen worden vastgelegd, kunnen ze deze gebruiken om een digitale replica te maken (ook wel bekend als 'deepfakes') en wordt de VR-beveiliging in gevaar gebracht. Deze beelden kunnen ze vervolgens gebruiken om via de VR-headset van iemand anders een social-engineeringaanval uit te voeren.

Behalve de cyberbeveiliging is een de grootste gevaren van 'virtual reality' dat het zicht en het gehoor van de gebruiker volledig van de echte wereld wordt afgesloten. Het is altijd belangrijk om de fysieke veiligheid en beveiligheid van de omgeving van de gebruiker te controleren. Dit geldt ook voor AR, waarbij gebruikers hun omgeving goed in de gaten moeten houden, vooral als ze zich in een meeslepende digitale omgeving bevinden.

Andere problemen met VR die soms door critici worden aangehaald als zijnde negatief, zijn onder andere:

  • Risico op verslaving.
  • Gevolgen voor de gezondheid, zoals duizeligheid, misselijkheid of desoriëntatie (na langdurig gebruik van VR.)
  • Minder sociale connecties.

Voorbeelden van AR en VR

Het gebruik van 'augmented reality', 'virtual reality' en 'mixed reality' is zeer gevarieerd en wordt steeds uitgebreider. Voorbeelden zijn:

  • Gamen – van schietspellen tot strategiespellen en 'roleplaying'-spellen. Het meest bekende AR-spel is Pokémon Go.
  • Professioneel sporten – voor trainingsprogramma's voor zowel professionele sporters als amateursporters.
  • Virtueel reizen – zoals virtuele bezoekjes aan bijvoorbeeld dierentuinen, safariparken, musea, etc, zonder dat je de deur uit hoeft.
  • Gezondheidszorg – zodat medische zorgverleners kunnen trainen, bijvoorbeeld door middel van simulaties van operaties.
  • Film en tv – voor films en tv-series om kijkers een meeslepende ervaring te bieden.

De technologie wordt ook voor meer serieuze doeleinden ingezet. Zo gebruikt het Amerikaanse leger de technologie om hun militairen op geavanceerde wijze te trainen. In China wordt de technologie ingezet om verdachten te identificeren.

Privacyproblemen rondom Oculus

Oculus is een van de meest bekende VR-headsets en een van de weinige bedrijven die VR-spellen op grote schaal ontwikkelt. In 2014 werd het bedrijf door Facebook overgenomen en in 2020 kondigde Facebook aan dat gebruikers in de toekomst verplicht via Facebook moeten inloggen om VR-headsets te gebruiken. Deze aankondiging deed veel stof opwaaien.

Tegenstanders van de beslissing maakten zich zorgen over hoe Facebook gegevens verzamelt, opslaat en gebruikt, over extra advertentietargeting en over hoe gebruikers die geen Facebook gebruiken, worden geforceerd om toch een account aan te maken. De aankondiging veroorzaakte een overvloed aan online berichten van gebruikers die zich zorgen maken over hun privacy en de beveiliging van Oculus. Zij gaven aan dat ze geen Oculus-headsets meer zouden gebruiken, hoewel anderen zeiden dat zij hun Oculus hoogstwaarschijnlijk alsnog zouden blijven gebruiken.

Tips: je veiligheid waarborgen met gebruik van VR- en AR-systemen

Deel geen persoonlijke informatie

Deel geen informatie die te persoonlijk is of die niet hoeft te worden gedeeld. Je kunt best je e-mailadres aan je account koppelen, maar koppel geen creditcard, tenzij je van plan bent om een aankoop te doen.

Lees het privacybeleid

Het is vaak eenvoudig om het lange privacybeleid en de algemene voorwaarden niet te lezen. Het is echter een goed idee om erachter te komen hoe de bedrijven achter AR- en VR-platforms jouw gegevens opslaan en hoe ze deze gebruiken. Delen ze jouw gegevens bijvoorbeeld met externe partijen? Welke soort gegevens verzamelen en delen ze?

Gebruik een VPN

Een manier om je identiteit en gegevens online privé te houden, is door een VPN-service te gebruiken. Als je gevoelige informatie moet invoeren, kan het gebruik van een VPN bescherming bieden en voorkomen dat deze informatie wordt onderschept. Geavanceerde versleuteling en een aangepast IP-adres zorgen er samen voor dat jouw identiteit en gegevens privé blijven. De werkwijzen van een VPN worden waarschijnlijk aangepast al naar gelang de ontwikkelingen van AR- en VR-technologieën.

Werk je firmware bij

Het is voor je VR-headsets en draagbare AR-apparaten van groot belang dat je je firmware naar de nieuwste versie bijwerkt. Zo profiteer je niet alleen van nieuwe en verbeterde functies, maar worden ook beveiligingsfouten opgelost.

Gebruik uitgebreide antivirussoftware

Het gebruik van een proactieve cyberveiligheidsoplossing is doorgaans de beste manier om je online veiligheid te waarborgen. Een voorbeeld hiervan is Kaspersky Total Security, dat robuuste beveiliging biedt tegen verschillende dreigingen online. Voorbeelden hiervan zijn virussen, malware, ransomware, spyware, phishing en andere opkomende internetbeveiligingsbedreigingen.

Gerelateerde artikelen:

Wat zijn de privacy- en beveiligingsrisico's van VR en AR

Wat zijn de belangrijkste gevaren van 'virtual reality'- en 'augmented reality'-systemen? Leer meer over de beveiliging en privacy van AR en VR, waaronder privacyproblemen met Oculus.
Kaspersky Logo